Configurer les administrateurs partenaires
Pour accorder aux administrateurs partenaires des autorisations de gestion pour un portail Secure Partner Access, vous devez effectuer les actions suivantes :
Restreindre l'accès à Okta Admin Console
Les administrateurs Okta ont accès à Okta Admin Console par défaut. Cependant, certains administrateurs, tels que les administrateurs pour le Portail administratif de partenaire, peuvent ne pas avoir besoin accès à Admin Console. En tant que super administrateur, vous pouvez autoriser ou refuser à un administrateur partenaire l'accès à Admin Console. Vous pouvez supprimer l'application Admin Console des administrateurs partenaires qui n'ont pas besoin de l'accès tout en conservant leurs privilèges administrateur pour le portail qui leur est affecté.
Si des administrateurs partenaires ont été créés avant que l'accès à Okta Admin Console n'ait été restreint, Admin Console leur sera toujours affectée. Vous devez supprimer manuellement les administrateurs partenaires de la Admin Console. La restriction de l'accès à Admin Console s'applique uniquement aux administrateurs créés après la configuration de l'affectation de rôle d'administrateur.
Pour restreindre accès à Admin Console, suivez les étapes de la section Restreindre l'accès à Admin Console.
Personnaliser les rôles d'administrateur de vos partenaires
Lorsque le Portail administratif de partenaire est activé au sein de votre org, la page d'Admin Console affiche un rôle d'Administrateur partenaire par défaut. Le rôle dispose de toutes les autorisations dont les administrateurs partenaires ont besoin pour gérer un portail. Vous pouvez modifier les autorisations pour ce rôle, mais Okta vous recommande de ne pas ajouter d'autorisations supplémentaires.
Consultez Autorisations pour les administrateurs partenaires pour voir les autorisations accordées pour le rôle. Pour modifier le rôle, suivez les étapes de Modifier un rôle.
Affecter des utilisateurs au rôle
Pour déléguer des permissions à un administrateur partenaire, vous devez effectuer les tâches suivantes :
-
Créer un ensemble de ressources. Ajoutez les domaines Realm qui font partie de l'ensemble de ressources. Okta ne recommande pas d'ajouter des administrateurs Portail administratif du partenaire aux domaines Realm de partenaires, car les administrateurs de partenaires disposent de droits de gestion sur ces domaines Realm.
-
Créez une affectation d'administrateur en utilisant le rôle d'administrateur partenaire :
Pour plus d'informations sur les autorisations que vous pouvez accorder aux administrateurs partenaires, consultez Autorisations pour les administrateurs partenaires.
Examiner les pratiques de contrôle d'accès basé sur les attributs
Bien que les administrateurs partenaires délégués ne puissent pas afficher, créer ou modifier les règles de groupe, ces règles s'appliquent toujours aux utilisateurs partenaires car ils fonctionnent comme tout autre utilisateur dans Okta. Un administrateur partenaire disposant de permissions de modifier les utilisateurs peut attribuer des valeurs aux attributs utilisés dans les règles de groupe. Cela peut entraîner le placement des utilisateurs partenaires dans des groupes auxquels ils ne devraient pas appartenir, et donc leur accorder un accès non autorisé aux applications, aux groupes et aux droits.
Pour atténuer ce risque, vous pouvez suivre les étapes suivantes :
-
Utilisez des conditions d'attributs dans le rôle d'administrateur du client pour empêcher les administrateurs de partenaires de modifier ou d'affecter des valeurs aux attributs liés aux règles de groupe. Voir Conditions d'autorisation.
-
Vous pouvez définirles valeurs par défaut pour les attributs personnalisés. Cette méthode vous offre un contrôle précis sur les administrateurs de votre org en mesure d'effectuer des actions spécifiques. Consultez Ajouter des attributs personnalisés à un profil utilisateur Okta.
-
-
Vérifiez les règles de groupe pour vous assurer que les utilisateurs partenaires sont exclus. Voir Modifier les règles de groupe.